XenMobile® Server

BitLocker-Geräterichtlinie

April 29, 2026

Beitrag von:

C C

Windows 10 und Windows 11 enthalten eine Festplattenverschlüsselungsfunktion namens BitLocker, die zusätzlichen Datei- und Systemsicherheitsschutz vor unbefugtem Zugriff auf ein verlorenes oder gestohlenes Windows-Gerät bietet. Für mehr Schutz können Sie BitLocker mit Trusted Platform Module (TPM)-Chips, Version 1.2 oder höher, verwenden. Ein TPM-Chip übernimmt kryptografische Operationen und generiert, speichert und begrenzt die Verwendung kryptografischer Schlüssel.

Ab Windows 10, Build 1703, können MDM-Richtlinien BitLocker steuern. Sie verwenden die BitLocker-Geräterichtlinie in XenMobile®, um die Einstellungen zu konfigurieren, die im BitLocker-Assistenten auf Windows 10- und Windows 11-Geräten verfügbar sind. Auf einem Gerät mit aktiviertem BitLocker kann BitLocker Benutzer beispielsweise fragen, wie sie ihr Laufwerk beim Start entsperren möchten, wie sie ihren Wiederherstellungsschlüssel sichern und wie sie ein festes Laufwerk entsperren. Die Einstellungen der BitLocker-Geräterichtlinie konfigurieren auch, ob:

BitLocker auf Geräten ohne TPM-Chip aktiviert werden soll.
Wiederherstellungsoptionen in der BitLocker-Benutzeroberfläche angezeigt werden sollen.
Schreibzugriff auf ein festes oder wechselbares Laufwerk verweigert werden soll, wenn BitLocker nicht aktiviert ist.

Hinweis:

Nachdem die BitLocker-Verschlüsselung auf einem Gerät gestartet wurde, können Sie die BitLocker-Einstellungen auf dem Gerät später nicht mehr ändern, indem Sie eine aktualisierte BitLocker-Geräterichtlinie bereitstellen.

Um diese Richtlinie hinzuzufügen oder zu konfigurieren, gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Anforderungen

Die BitLocker-Geräterichtlinie erfordert Windows 10 oder Windows 11 Enterprise Edition.
Bevor Sie die BitLocker-Geräterichtlinie bereitstellen, bereiten Sie Ihre Umgebung für die BitLocker-Nutzung vor. Detaillierte Informationen von Microsoft, einschließlich BitLocker-Systemanforderungen und -Einrichtung, finden Sie unter BitLocker und den Artikeln unter diesem Knoten.

Windows Desktop- und Tablet-Einstellungen

Abbildung des Konfigurationsbildschirms für Geräterichtlinien

Gerät muss verschlüsselt sein: Legt fest, ob Benutzer aufgefordert werden sollen, die BitLocker-Verschlüsselung auf dem Windows Desktop oder Tablet zu aktivieren. Wenn Ein, zeigt das Gerät nach Abschluss der Registrierung eine Meldung an, die besagt, dass das Unternehmen eine Geräteverschlüsselung erfordert. Wenn Aus, wird der Benutzer nicht aufgefordert und BitLocker verwendet die Richtlinieneinstellungen. Standardmäßig Aus.
Verschlüsselungsmethoden konfigurieren: Legt die zu verwendenden Verschlüsselungsmethoden für bestimmte Laufwerkstypen fest. Wenn Aus, fordert der BitLocker-Assistent den Benutzer auf, die für einen Laufwerkstyp zu verwendende Verschlüsselungsmethode auszuwählen. Die Verschlüsselungsmethode für alle Laufwerke ist standardmäßig XTS-AES 128 Bit. Die Verschlüsselungsmethode für wechselbare Laufwerke ist standardmäßig AES-CBC 128-Bit. Wenn Ein, verwendet BitLocker die in der Richtlinie angegebene Verschlüsselungsmethode. Wenn Ein, erscheinen diese zusätzlichen Einstellungen: Betriebssystemlaufwerk, Festes Laufwerk und Wechselbares Laufwerk. Wählen Sie die Standardverschlüsselungsmethode für jeden Laufwerkstyp. Standardmäßig Aus.
Zusätzliche Authentifizierung beim Start erforderlich: Gibt die zusätzliche Authentifizierung an, die während des Gerätestarts erforderlich ist. Gibt auch an, ob BitLocker auf Geräten ohne TPM-Chip zugelassen werden soll. Wenn Aus, können Geräte ohne TPM keine BitLocker-Verschlüsselung verwenden. Informationen zu TPM finden Sie im Microsoft-Artikel Übersicht über die Trusted Platform Module-Technologie. Wenn Ein, erscheinen die folgenden zusätzlichen Einstellungen. Standardmäßig Aus.
- BitLocker auf Geräten ohne TPM-Chip blockieren: Auf einem Gerät ohne TPM-Chip erfordert BitLocker von Benutzern die Erstellung eines Entsperrkennworts oder Startschlüssels. Der Startschlüssel wird auf einem USB-Laufwerk gespeichert, das der Benutzer vor dem Start mit dem Gerät verbinden muss. Das Entsperrkennwort hat eine Mindestlänge von acht Zeichen. Standardmäßig Aus.
- TPM-Start: Auf einem Gerät mit TPM gibt es vier Entsperrmodi: Nur TPM, TPM + PIN, TPM + Schlüssel und TPM + PIN + Schlüssel. Der TPM-Start ist für den Nur-TPM-Modus, in dem Verschlüsselungsschlüssel im TPM-Chip gespeichert werden. Dieser Modus erfordert vom Benutzer keine zusätzlichen Entsperrdaten. Das Benutzergerät wird beim Neustart automatisch entsperrt, wobei der Verschlüsselungsschlüssel vom TPM-Chip verwendet wird. Standardmäßig TPM zulassen.
- TPM-Start-PIN: Diese Einstellung ist der Entsperrmodus TPM + PIN. Eine PIN kann bis zu 20 Ziffern haben. Verwenden Sie die Einstellung Mindest-PIN-Länge, um die Mindest-PIN-Länge anzugeben. Ein Benutzer konfiguriert eine PIN während der BitLocker-Einrichtung und gibt die PIN beim Gerätestart ein.
- TPM-Startschlüssel: Diese Einstellung ist der Entsperrmodus TPM + Schlüssel. Der Startschlüssel wird auf einem USB- oder einem anderen wechselbaren Laufwerk gespeichert, das der Benutzer vor dem Start mit dem Gerät verbinden muss.
- TPM-Startschlüssel und PIN: Diese Einstellung ist der Entsperrmodus TPM + PIN + Schlüssel.
  
  Wenn die Entsperrung erfolgreich ist, beginnt das Betriebssystem zu laden. Wenn die Entsperrung fehlschlägt, wechselt das Gerät in den Wiederherstellungsmodus.
Mindest-PIN-Länge: Die Mindestlänge der TPM-Start-PIN. Standardmäßig 6.
Wiederherstellung des Betriebssystemlaufwerks konfigurieren: Wenn der Entsperrschritt fehlschlägt, fordert BitLocker den Benutzer zur Eingabe des konfigurierten Wiederherstellungsschlüssels auf. Diese Einstellung konfiguriert die Wiederherstellungsoptionen für das Betriebssystemlaufwerk, die Benutzern zur Verfügung stehen, wenn sie das Entsperrkennwort oder den USB-Startschlüssel nicht haben. Standardmäßig Aus.
- Zertifikatbasierten Datenwiederherstellungsagenten zulassen: Gibt an, ob ein zertifikatbasierter Datenwiederherstellungsagent zugelassen werden soll. Fügen Sie einen Datenwiederherstellungsagenten aus den Richtlinien für öffentliche Schlüssel hinzu, die sich in der Gruppenrichtlinienverwaltungskonsole (GPMC) oder im Editor für lokale Gruppenrichtlinien befinden. Weitere Informationen zu Datenwiederherstellungsagenten finden Sie im Microsoft-Artikel BitLocker-Gruppenrichtlinieneinstellungen. Standardmäßig Aus.
- 48-Bit-Wiederherstellungskennwort für die Wiederherstellung des Betriebssystemlaufwerks erstellen: Gibt an, ob Benutzer ein Wiederherstellungskennwort verwenden dürfen oder müssen. BitLocker generiert das Kennwort und speichert es in einer Datei oder einem Microsoft Cloud-Konto. Standardmäßig 48-stellige Kennwort zulassen.
- 256-Bit-Wiederherstellungsschlüssel erstellen: Gibt an, ob Benutzer einen Wiederherstellungsschlüssel verwenden dürfen oder müssen. Ein Wiederherstellungsschlüssel ist eine BEK-Datei, die auf einem USB-Laufwerk gespeichert wird. Standardmäßig 256-Bit-Wiederherstellungsschlüssel zulassen.
- Wiederherstellungsoptionen für das Betriebssystemlaufwerk ausblenden: Gibt an, ob Wiederherstellungsoptionen in der BitLocker-Benutzeroberfläche angezeigt oder ausgeblendet werden sollen. Wenn Ein, werden keine Wiederherstellungsoptionen in der BitLocker-Benutzeroberfläche angezeigt. In diesem Fall registrieren Sie das Gerät bei Active Directory, speichern Sie die Wiederherstellungsoptionen in Active Directory und setzen Sie Wiederherstellungsinformationen in AD DS speichern auf Ein. Standardmäßig Aus.
- Wiederherstellungsinformationen in AD DS speichern: Gibt an, ob die Wiederherstellungsoptionen in den Active Directory-Domänendiensten gespeichert werden sollen. Standardmäßig Aus.
- Konfigurieren der in AD DS gespeicherten Wiederherstellungsinformationen: Gibt an, ob das BitLocker-Wiederherstellungskennwort oder das Wiederherstellungskennwort und das Schlüsselpaket in den Active Directory-Domänendiensten gespeichert werden sollen. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem physisch beschädigten Laufwerk. Standardmäßig Wiederherstellungskennwort sichern.
- BitLocker nach dem Speichern der Wiederherstellungsinformationen in AD DS aktivieren: Gibt an, ob Benutzer daran gehindert werden sollen, BitLocker zu aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory ist erfolgreich. Wenn Ein, muss ein Gerät vor dem Start von BitLocker in die Domäne eingebunden sein. Standardmäßig Aus.
Wiederherstellungsnachricht und URL vor dem Start anpassen: Gibt an, ob BitLocker eine angepasste Nachricht und URL auf dem Wiederherstellungsbildschirm anzeigt. Wenn Ein, erscheinen die folgenden zusätzlichen Einstellungen: Standard-Wiederherstellungsnachricht und URL verwenden, Leere Wiederherstellungsnachricht und URL verwenden, Benutzerdefinierte Wiederherstellungsnachricht verwenden und Benutzerdefinierte Wiederherstellungs-URL verwenden. Wenn Aus, werden die Standard-Wiederherstellungsnachricht und URL angezeigt. Standardmäßig Aus.
Wiederherstellung des festen Laufwerks konfigurieren: Konfiguriert die Wiederherstellungsoptionen für Benutzer für ein BitLocker-verschlüsseltes festes Laufwerk. BitLocker zeigt Benutzern keine Meldung zur Verschlüsselung fester Laufwerke an. Um ein Laufwerk beim Start zu entsperren, gibt ein Benutzer ein Kennwort oder eine Smartcard ein. Die Entsperreinstellungen für den Start, die nicht in dieser Richtlinie enthalten sind, erscheinen in der BitLocker-Benutzeroberfläche, wenn ein Benutzer die BitLocker-Verschlüsselung auf einem festen Laufwerk aktiviert. Informationen zu den verwandten Einstellungen finden Sie unter Wiederherstellung des Betriebssystemlaufwerks konfigurieren weiter oben in dieser Liste. Standardmäßig Aus.
Schreibzugriff auf feste Laufwerke blockieren, die BitLocker nicht verwenden: Wenn Ein, können Benutzer nur auf feste Laufwerke schreiben, wenn diese mit BitLocker verschlüsselt sind. Standardmäßig Aus.
Schreibzugriff auf wechselbare Laufwerke blockieren, die BitLocker nicht verwenden: Wenn Ein, können Benutzer nur auf wechselbare Laufwerke schreiben, wenn diese mit BitLocker verschlüsselt sind. Konfigurieren Sie diese Einstellung entsprechend, ob Ihre Organisation Schreibzugriff auf andere wechselbare Laufwerke der Organisation zulässt. Standardmäßig Aus.
Aufforderung zur anderen Festplattenverschlüsselung: Ermöglicht das Deaktivieren der Warnmeldung für andere Festplattenverschlüsselungen auf Geräten. Standardmäßig Aus.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

BitLocker-Geräterichtlinie

April 29, 2026

Beitrag von:

C C

April 29, 2026

Beitrag von:

C C

In diesem Artikel

Anforderungen
Windows Desktop- und Tablet-Einstellungen

War dieser Artikel hilfreich?